I allmänhet är det rätt att du behöver tillstånd från värdföretaget där du skannar tjänster som distribueras på deras infrastruktur. Detta är delvis så att deras intrångsavkänningssystem är medvetna om att det är en auktoriserad skanning.
Både AWS och Azure har policyer som beskriver processen och vad som är acceptabelt att testa. AWS är här och Azure är här. Om ett webbhotell inte har en publicerad policy är det värt att kontakta dem för att kontrollera.
Det kan också bero på exakt vilken tjänst du använder från molnhostleverantören. Så till exempel för AWS tillåter de dig att testa IAAS-stilerbjudanden som AWS EC2 där kunden är ansvarig för operativsystemet och inte SAAS-erbjudanden som AWS S3 där Amazon ansvarar för operativsystemet och tillhörande programvara. Men Azure verkar ha en mer omfattande policy där du kan testa alla tjänster du äger.
Även testtyper kan vara begränsade, till exempel kan DoS-testning mycket väl inte tillåtas eftersom det uppenbarligen kan påverka molnleverantören.
För "traditionell" hosting beror det i allmänhet på vilken typ av tjänst du har. Om du använder delad hosting där du bara har tillgång till webroot kan du mycket väl vara begränsad från testning, eftersom det uppenbarligen finns en risk att påverka andra användare på samma server, men där du har en fullständig OS-bild (t.ex. Digital Ocean Droplets ) du brukar vara ok så länge du har meddelat dem (i fallet med Digital Ocean, via en supportbiljett).
Det finns också en längre lista över vart du ska gå för olika företag här