Você sempre vai precisar chamar APIs do front quando se trata de aplicações dinâmicas.
O que você precisa proteger são chamadas críticas, por exemplo: você tem uma API que cria anuncios no google ads. você jamais vai fazer essa chamada diretamente ao google via frontend, e sim chamar seu backend, e ele fará essa requisição.
Esse seu endpoint vai precisar provavelmente de alguma autenticação, além disso você deve impor limites ao seu uso, por exemplo um usuário só pode criar X anúncios, assim um usuário mal intencionado não consegue fazer grandes estragos com uma só conta.
De toda forma você vai precisar de uma chave de API para sua API interna, que precisa estar dentro do seu código.
Essa API deve estar protegida por CORS, evitando chamada a partir de sites de terceiros (não impede em browsers com cors desativado, mas dificulta um ataque em massa por exemplo)