Как запретить доступ к форме сокета докера внутри контейнера

В роковых кластерах Docker, как мы можем предотвратить доступ контейнеров к сокету Docker. У нас есть общий кластер Swarm, и контейнеры легко получают доступ к docker.sock, монтируя его и получая к нему доступ как root внутри контейнера. Как мы отрицаем это (предполагая, что у нас нет контроля над развертываемым файлом compose), мы хотим контролировать это на уровне демона swarm/docker, предоставляя этот доступ только нескольким машинам с контейнерами Jenkins CI, но не другим в swarm.