BaaS/Backend изоляция скриптов php/nodejs

Мы создаем что-то похожее на простую систему BaaS (auto backend). Я хочу, чтобы пользователи могли расширять функциональность своего бэкенда, загружая пользовательский код на PHP или JS/NodeJS. Например, мы генерируем API с базовыми функциями, такими как CRUD, отношения, вход в систему. Пользователь может написать свои собственные операторы SQL. Но иногда пользователь может захотеть добавить собственную логику, безопасность и т. Д.

Этот вопрос о безопасности и изоляции. Если я разрешаю пользователю загружать свой собственный код, как я могу быть уверен, что его код может получить доступ только к его базе данных и файлам и не может получить доступ к файлам / базе данных другого пользователя или поставить под угрозу безопасность сервера?

Я подумал, может быть, использовать Dockers и действительно создать Docker-контейнер для каждого пользователя или что-то в этом роде.

Для базы данных я думал о создании отдельного пользователя базы данных для каждой базы данных, это кажется более простым.

Спасибо.