La Ley dice que necesita permiso para usar un sistema informático. Alguien que realiza pruebas de seguridad en un sistema que no es suyo necesita obtener primero el permiso del propietario del sistema, o corre el riesgo de violar el CMA. Este es un hecho independientemente de si el sistema que se va a probar es un servidor físico o un servidor virtual alquilado desde la nube.
El propietario del sistema puede elegir hacer una imagen de su sistema en vivo y proporcionar esa copia a un probador, en lugar de arriesgarse a dañar su servidor en vivo durante la prueba. Esta imagen se puede limpiar para eliminar datos reales de los clientes, contraseñas para acceder a otros sistemas, etc.
El probador podría ejecutar la imagen en una máquina virtual o podría cargarla en un servidor físico. Hablando en términos prácticos, debido a su costo y conveniencia, el evaluador casi siempre usará una máquina virtual para la tarea.
En ninguno de los dos casos se le dio permiso al probador para acceder al sistema real. Sin embargo, él o ella tiene permiso para probar la copia del sistema, ya que fue entregada por el propietario.
La respuesta más precisa a su pregunta original es "no se puede" porque no están relacionadas. Como está escrito, la pregunta confunde la diferencia entre "físico / virtual" y "original / copia". Son técnicamente dos conceptos muy diferentes.
Si desea evitar que el CMA esté en conflicto, necesita permiso para probar el sistema. Eso es todo lo que dice la ley.