Как запустить Java-код в ограниченной песочнице (без доступа к сети и файловой системе)

Допустим, какой-то программист дает мне исполняемый jar (из кода Java) вместе с точкой входа для использования. Я хочу запустить эту банку (программно)из кода Java в ограниченной среде песочницы без доступа к сети, файловой системе или базе данных и с фиксированным объемом ЦП и памяти. То есть, код Java не должен вызывать никаких побочных эффектов для других программ, работающих на моем jvm.

В идеале я хотел бы разрешить определенный доступ в зависимости от ситуации (скажем, например, только файлы в определенном каталоге с квотой).