why isn't SELinux or Seccomp included in that table
Como diz no topo dessa página, considera:
Operating system-level virtualization [...] where the kernel of an operating system allows for multiple isolated user-space instances
Não é isso que o SELinux ou o Seccomp fazem. Eles restringem o que um processo pode fazer no espaço do usuário existente , em vez de criar um espaço de usuário separado para os processos operarem dentro dele. Máquinas virtuais também podem ser usadas para sandboxing, e elas não estão nessa lista, pois geralmente isolariam um usuário -space, eles também isolam o espaço do kernel. Assim, uma máquina virtual pode proteger um sistema operacional inteiro, a virtualização do nível do sistema operacional apenas protege o espaço do usuário, e coisas como o SELinux apenas protegem processos ou usuários individuais.
Veja algumas das coisas que são separadas em "um espaço de usuário separado":
- Sistemas de arquivos: o que significa que você não pode acessar nenhum dos arquivos no espaço do host. O SELinux, por outro lado, apenas restringe quais arquivos podem ser acessados. Parte do significado disso é que inclui bibliotecas, executáveis, etc. Você pode proteger um aplicativo e executá-lo usando o SELinux, mas em um contexto de virtualização no nível do sistema operacional, você deve instalar e executar o aplicativo no primeiro contêiner. Você não pode executar qualquer coisa no sistema operacional host.
- Rede: significa que, se você precisar acessar uma rede, esse acesso deverá ser organizado separadamente no contêiner. Você não pode usar as conexões de rede do sistema operacional host.