Exatamente.
Jamais expõem a porta e seu banco na Web.
utilize soluções que possa através de um servidor de aplicação efetuar o CRUD em seu banco assim tu pode ter validações por exemplo JWT
hoje em dia solução boa e gratuita é o DMVC https://github.com/danieleteti/delphimvcframework
tu utiliza o ActiveRecords dele e monta um CRUD em minutos ou pode usar outra ferramenta ORM e como por exemplo ORMBr https://www.ormbr.com.br/
e faz o mesmo. existe também o Horse https://github.com/HashLoad/horse
que pode facilmente integrar com algum ORM mencionado e fazer seu CRUD
e existe a ferramenta paga que é uma framework completa que é o TMS Business https://www.tmssoftware.com/site/bipack.asp
com ele tu tem no XData para servidor rest e o Aurelius para ORM que eles se integram acho que em minutos tu sobe um servidor e mapeia seu banco expondo ele e depois basta consumir do outro lado