O docker oferece isolamento 'reverso'

Estou procurando uma maneira de proteger um contêiner do espaço do usuário normal.

Quando eu inicio um container eu posso

• veja muitas informações sobre o que acontece dentro dele (por exemplo, ps também mostra pid dentro do contêiner)
• faça o contêiner fazer o que quiser (por exemplo, docker exec ).

É possível lançar um contêiner de maneira que eu possa somente

• Pare e remova (e talvez pause) o contêiner, mas não tenha controle sobre ele?
• Veja as ações / efeitos do contêiner no mundo externo (total de recursos usados, pacotes TCP / IP saindo do contêiner, ...) mas não como esses recursos são usados, como os pacotes TCP / IP trafegam dentro do contêiner, ...?

Então, o que eu realmente quero é o contrário do isolamento usual.

Não consigo encontrar nada sobre isso, nem mesmo em a parte de segurança da documentação oficial .

A razão mais importante para a minha pergunta:
Isso tornaria mais fácil proteger os contêineres contra acidentes que acontecem no espaço do usuário regular.