Jól érted, ez "csak" annyi hogy értelmesen használja ezeket az interfaceket, és ezért jól el tudja szeparálni egymástól az appokat. Az érték elvileg az benne, hogy ezt könnyen megoldhatóvá teszi. Ami, ha próbáltál már kiigazodni mondjuk a redhat által szállított targeted selinux policyk többszázezer rulejával, nem is olyan kis dolog. Miért kéne a base technológiát újra kitalálni?
Ilyen alapon a docker se csinál semmit pl, az is csak namespaceket, cgroupsokat, meg ilyeneket toszogat, meg iptablessel routeol.
Meg persze még ezt azt csinál, de ezt-azt még csinál a snap is (pl atomi, jól rollbackelhető upateket)