A melhor solução é o isolamento separado de hardware e rede para cada nível de confiança.
Máquinas Virtuais são a próxima melhor coisa, especialmente quando integradas como qubes-os , mas podem um dia ser suscetível a erros de hardware (rowhamer, execução especulativa, firewire) ou erros de software.
Os contêineres podem definir vários recursos de segurança do kernel (SELinux / AppArmor, sem compartilhamento , chroot , etc) para isolar um processo sem a sobrecarga de uma VM.
Tenha em mente que existem soluções simples disponíveis para os motivados;
Portanto,émelhornãoteracessoarecursosaosquaisvocênãoprecisaacessar.
Pessoalmente,usoumamisturadosmétodosacima;hardwarededicadoparaosbitsrealmentesensíveis,VMsparaqualquercoisaquenãosejadodebian/fedora,Pixel2Phone(únicaopçãocomatualizaçõesdesoftwarequevaleapenamencionar)segurançaemcamadas(firewalls,sistemasdedetecçãodeintrusão,etc)