Ein System in der Cloud ist auch nur jemand anderes Computer. Daher unterscheiden sich Penetrationstests in der Cloud kaum von solchen am eigenen Unternehmensnetz. Die Unterschiede liegen vor allem in rechtlichen und organisatorischen Aspekten (Shared Responosibility Model) zum anderen darin, dass es zu großen Teilen um das Aufdecken von unsicheren Konfigurationsparametern geht. Daher werden häufig ergänzend oder anstatt eines Penetrationstests auf Netzwerkebene, Whitebox Prüfungen der Einstellungen in der Konfigurationsoberfläche des Cloudanbieters durchgeführt.