Tengo una API de back-end expuesta a Internet por Google Cloud Endpoint (Proxy de servicio extensible) de GCP. Cloud Endpoint nos permite controlar qué otros servicios backend pueden acceder a la API y bloquear solicitudes no autorizadas.
¿Vale la pena agregar un WAF delante de Cloud Endpoint para proteger aún más la API?