Если всё запихать в докер, это не даст безопасность по дефолту. Магии нет, безопасность зависит только от вас.
На вопрос «стоит ли запихивать в докер всё», я отвечаю положительно. Потому что это даст удобство. (1) Общение между контейнерами будет осуществляться через интерфейс докера, что значительно облегчит конфиги. (2) Управление средой станет централизированым и унифицированым, а главное явным. (3) Масштабирование, с помощью докера можно легко запустить дополнительный процесс контейнера, или развернуться на других машинах с помощью докер сворм.
Контейнеры действительно не должны быть зависимы от стейта, однако приложения в нутри них могут. Для большинства приложений, как СУБД, это вообще не избежно. И тут докер предоставляет удобные средства: вы всегда можете просто замапать директорию контейнера на директорию хоста, или воспользоваться беспроцессным дата контейнером, или создать вольюм, и даже подключить удалёный вольюм через nfs.
В общем, да—пихайте всё в докер.