Вы можете погуглить в сторону Web Application Firewall (WAF), помимо банального скрытия финального сервера с API как бонус получите защиту от распространенных атак.
Но это не значит, что можно полностью довериться WAF и не предпринимать никаких шагов на уровне API ;)
PS: в этой схеме крайне желательно, чтобы финальный API-сервер не отвечал на запросы не от WAF, но это совсем другая история.
