Любые сервисы и службы, у которых есть выход в интернет, подвержены DDoS-атакам: сайты, веб-приложения, API, шлюзы. Не важно, лежат они на локальном сервере или в облаке, их надо защищать. Инструменты защиты в любом случае одинаковые: сервисы операторов связи, сервисы специализированных провайдеров защиты или свой центр очистки трафика с локальным программным обеспечением.