O Docker é MUITO leve em comparação com uma VM, e um sistema VM deve funcionar apenas em contêineres corretos. Cada container essencialmente roda como um sistema isolado, então é muito bom para o isolamento de uma perspectiva de estabilidade do sistema. Com base na sua descrição, parece o caso de uso ideal do Docker. Se você experimentar o Docker, certifique-se de usar a versão mais nova possível, algumas das mais antigas têm algumas vulnerabilidades bastante desagradáveis. Existem algumas considerações de segurança ao executar o Docker.
SELinux - O SELinux tem reconhecimento de contêineres e cria automaticamente um rótulo MCS aleatoriamente nomeado para cada contêiner. Isso ajuda a garantir o isolamento, já que os contêineres LXC não são considerados "contidos" por si mesmos, embora isso esteja melhorando.
Diretiva do usuário - Em cada Dockerfile, é recomendável usar a diretiva USER e fazer com que o usuário seja executado como uma conta diferente de root, o padrão. A captura aqui é o usuário deve existir no sistema. Ele também pode ser frustrante chowning / chmodding arquivos e diretórios para este novo usuário, mas ajuda a reduzir o risco. Eu normalmente recomendo que você crie um "containeruser" ou algo parecido em seus sistemas para ajudar a garantir que um usuário comum esteja disponível em todos os sistemas que não se sobreponham a nenhuma outra parte do sistema.
Caso contrário, a parte mais difícil é gerenciar os contêineres e atualizá-los quando necessário.